Los complementos de WordPress siguen siendo atacados por piratas informáticos que utilizan credenciales robadas (de otras violaciones de datos) para obtener acceso directo al código del complemento. Lo que hace que estos ataques sean especialmente preocupantes es que estos ataques a la cadena de suministro pueden colarse porque el compromiso les parece a los usuarios como complementos con una actualización normal.

Ataque a la cadena de suministro

La vulnerabilidad más común es cuando una falla de software permite a un atacante inyectar código malicioso o lanzar algún otro tipo de ataque; la falla está en el código. Pero un ataque a la cadena de suministro ocurre cuando el software en sí o un componente de ese software (como un script de terceros utilizado dentro del software) se modifica directamente con código malicioso. Esto crea la situación en la que el propio software entrega los archivos maliciosos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) define un ataque a la cadena de suministro (PDF):

“Un ataque a la cadena de suministro de software ocurre cuando un actor de amenaza cibernética se infiltra en la red de un proveedor de software y emplea código malicioso para comprometer el software antes de que el proveedor lo envíe a sus clientes. El software comprometido luego compromete los datos o el sistema del cliente.

El software recién adquirido puede verse comprometido desde el principio, o puede ocurrir un compromiso a través de otros medios, como un parche o una revisión. En estos casos, el compromiso aún ocurre antes de que el parche o la revisión ingrese a la red del cliente. Este tipo de ataques afectan a todos los usuarios del software comprometido y pueden tener consecuencias generalizadas para el gobierno, la infraestructura crítica y los clientes de software del sector privado”.

Para este ataque específico a los complementos de WordPress, los atacantes utilizan credenciales de contraseña robadas para obtener acceso a cuentas de desarrollador que tienen acceso directo al código del complemento para agregar código malicioso a los complementos y crear cuentas de usuario de nivel de administrador en cada sitio web que utiliza el complemento comprometido. Complementos de WordPress.

Hoy, Wordfence anunció que se han identificado complementos adicionales de WordPress que han sido comprometidos. Es muy posible que haya más complementos que estén o estén comprometidos. Por eso es bueno comprender lo que está sucediendo y ser proactivo a la hora de proteger los sitios bajo su control.

Más complementos de WordPress atacados

Wordfence emitió un aviso de que más complementos estaban comprometidos, incluido un complemento de podcasting muy popular llamado PowerPress Podcasting plugin de Blubrry.

Estos son los complementos comprometidos recientemente descubiertos y anunciados por Wordfence:

• Estadísticas de salud del servidor WP (wp-server-stats): 1.7.6
  Versión parcheada: 1.7.8
  10.000 instalaciones activas
• Protector de clics no válidos para anuncios (AICP) (protector de clics no válidos): 1.2.9
  Versión parcheada: 1.2.10
  Más de 30.000 instalaciones activas
• Complemento PowerPress Podcasting de Blubrry (powerpress): 11.9.3 – 11.9.4
  Versión parcheada: 11.9.6
  Más de 40.000 instalaciones activas
• Última infección: imágenes optimizadas para SEO (seo-optimized-images): 2.1.2
  Versión parcheada: 2.1.4
  Más de 10.000 instalaciones activas
• Última infección – Pods – Tipos de contenido y campos personalizados (pods): 3.2.2
  Versión parcheada: actualmente no se necesita ninguna versión parcheada.
  Más de 100.000 instalaciones activas
• Última infección: imagen de antes y después de Twenty20 (twenty20): 1.6.2, 1.6.3, 1.5.4
  Versión parcheada: actualmente no se necesita ninguna versión parcheada.
  Más de 20.000 instalaciones activas

Este es el primer grupo de complementos comprometidos:

• Guerra social
• Widget de resplandor
• Elemento de enlace contenedor
• Formulario de contacto 7 Complemento de varios pasos
• Simplemente muestre los ganchos

Más información sobre el ataque a la cadena de suministro del complemento de WordPress aquí.

Qué hacer si utiliza un complemento comprometido

Algunos de los complementos se han actualizado para solucionar el problema, pero no todos. Independientemente de si el complemento comprometido ha sido parcheado para eliminar el código malicioso y la contraseña del desarrollador actualizada, los propietarios del sitio deben verificar su base de datos para asegurarse de que no se hayan agregado cuentas de administrador fraudulentas al sitio web de WordPress.

El ataque crea cuentas de administrador con los nombres de usuario “Opciones” o “PluginAuth”, por lo que esos son los nombres de usuario a tener en cuenta. Sin embargo, probablemente sea una buena idea buscar nuevas cuentas de usuario de nivel de administrador que no sean reconocidas en caso de que el ataque haya evolucionado y los piratas informáticos estén utilizando cuentas de administrador diferentes.

Los propietarios de sitios que utilizan la versión gratuita o Pro de Wordfence del complemento de seguridad de WordPress de Wordfence reciben una notificación si se descubre un complemento comprometido. Los usuarios de nivel profesional del complemento reciben firmas de malware para detectar inmediatamente complementos infectados.

El anuncio oficial de advertencia de Wordfence sobre estos nuevos complementos infectados advierte:

“Si tiene alguno de estos complementos instalado, debe considerar su instalación comprometida y pasar inmediatamente al modo de respuesta a incidentes. Recomendamos verificar sus cuentas de usuario administrativo de WordPress y eliminar las que no estén autorizadas, además de ejecutar un análisis completo de malware con el complemento de Wordfence o la CLI de Wordfence y eliminar cualquier código malicioso.

Los usuarios de Wordfence Premium, Care y Response, así como los usuarios pagos de Wordfence CLI, tienen firmas de malware para detectar este malware. Los usuarios gratuitos de Wordfence recibirán la misma detección después de un retraso de 30 días el 25 de julio de 2024. Si está ejecutando una versión maliciosa de uno de los complementos, el escáner de vulnerabilidades de Wordfence le notificará que tiene una vulnerabilidad en su sitio y debe actualizar el complemento cuando esté disponible o eliminarlo lo antes posible”.

Leer más:

Complementos de WordPress comprometidos en el origen: ataque a la cadena de suministro

Tres complementos más infectados en un ataque a la cadena de suministro de WordPress.org debido a contraseñas de desarrollador comprometidas

Imagen destacada de Shutterstock/Moksha Labs